[IPSec SA Rekey]

Одно лечим, другое калечим

 

Версия  4.0 Alpha 2

1. Проблема с 4мя пресогласованиями решена

2. Для GRE интерфейса задан ipsec encryption-level strong, на другой стороне задано AES_CBC_128/HMAC_SHA1_96/MODP_2048. Этот набор согласно документации для пресет strong поддерживается. Но пока не настроишь AES_CBC_128/HMAC_SHA1_96/MODP_1536 - ничего не работает. MODP_2048 для PFS не используется

 

 

[IPSec SA Rekey]

Добрый день!

Есть Giga III с софтом 3.8.5.4 - новее просто нет.

 

GRE туннель с IPSec. В момент IPsec SA rekey происходит пересогласование CHILD_SA

 

После 4х пересогласований IPsec рестартует. В логе появляется запись

 

ndm: IpSec::CryptoMapInfo: "Gre1": too many active IKE/CHILD SA: 0/4.

В моменты пересогласований (lifetime 60 секунд для тестов) в логе такое

 

I [Jan  6 22:29:50] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 1, active CHILD SA: 0.
I [Jan  6 22:29:50] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 1, active CHILD SA: 1.
I [Jan  6 22:30:27] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 1.
I [Jan  6 22:30:27] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 2.
I [Jan  6 22:30:37] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 2.
I [Jan  6 22:30:37] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 2.
I [Jan  6 22:31:01] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 2.
I [Jan  6 22:31:01] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 3.

 

Такое поведение исправлено в ветке 3.9?

[Xtables-addons настройка]

On 6/5/2022 at 5:42 AM, gaaronk said:

Странное дело. Есть Giga III и Duo. На обоих 3.7.4 (на гиге из delta).

На обоих используется модуль xt_geoip

Бинарные файлики стран которые готовятся xt_geoip_build делаются на внешней машине и одновременно загружаются в гигу и дуо.

На Duo все работает как надо. На гиге под правило, например с параметрами -m geoip --dst-cc RU - попадает весь трафик. Если вместо RU выбрать любую другую страну - все равно матчит все.

Это я сам дурак. После подготовки бинарников на внешней машине для гиги надо их конвертировать в little endian.

 

А вот на Duo big endian, а файлики все равно ищутся в каталоге /opt/share/xt_geoip/LE, а не /opt/share/xt_geoip/BE

[Все о туннелях IPIP, GRE и EoIP]

И еще вопрос. А как автоматический IPSec для GRE сделать routed в терминологии strongswan?

[Все о туннелях IPIP, GRE и EoIP]

А можно ли для interface ipsec encryption-level задавать собственные наборы алгоритмов? 

А то встроенные не совсем устраивают....

[Правила IPtables mangle]

А это я сам дурак. Надо проверять не только $table но и $type

А то IPv6 firewall часто дергает mangle

[Правила IPtables mangle]

Идут года, а хуками netfilter пользоваться все так же невозможно...

Вот с такой частотой продолжает вызываться скрипт для таблицы mangle

Fri Jun 24 06:41:47 MSK 2022
Fri Jun 24 06:46:25 MSK 2022
Fri Jun 24 06:46:59 MSK 2022
Fri Jun 24 06:51:47 MSK 2022
Fri Jun 24 06:51:47 MSK 2022
Fri Jun 24 06:54:14 MSK 2022
Fri Jun 24 06:55:47 MSK 2022
Fri Jun 24 06:59:15 MSK 2022
Fri Jun 24 07:00:47 MSK 2022
Fri Jun 24 07:01:22 MSK 2022
Fri Jun 24 07:02:47 MSK 2022
Fri Jun 24 07:04:17 MSK 2022

Версия 3.7.4

[Xtables-addons настройка]

Странное дело. Есть Giga III и Duo. На обоих 3.7.4 (на гиге из delta).

На обоих используется модуль xt_geoip

Бинарные файлики стран которые готовятся xt_geoip_build делаются на внешней машине и одновременно загружаются в гигу и дуо.

На Duo все работает как надо. На гиге под правило, например с параметрами -m geoip --dst-cc RU - попадает весь трафик. Если вместо RU выбрать любую другую страну - все равно матчит все.

[Полноценная поддержка IPsec в клиенте IKEv2.]

Массовые врядли. Но strongswan + freeradius вполне. У меня дома все это так и поднято.

[Xtables-addons настройка]

А вот так

# lsmod | grep geoip
xt_geoip 3414 0 - Live 0x82d2c000 (O)

 

# iptables -m geoip --help
iptables v1.4.21: Couldn't load match `geoip':No such file or directory

Try `iptables -h' or 'iptables --help' for more information.

 

И правила тоже не добавляет...

 

Хотя вот вполне работает

# iptables -m esp --help

[Hero 4G LAN-WAN]

1 minute ago, sergeyk said:

Будет.

Спасибо!

 

Подключу туда IoT железку на 10 мегабит.

[Hero 4G LAN-WAN]

Добрый день!

 

Скажите пожалуйста, я правильно понимаю что в Hero 4G WAN порт сидит через RGMII на отдельном MAC, а LAN порты через встроенный коммутатор?

И если мы превращаем WAN в LAN, то между бывшим WAN  и LAN портами будет программный бриджинг?

 

Если это не так и все аппаратно - то почему на GigabitEthernet1/0 нельзя сделать switchport mode trunk ?

[SNAT]

1 minute ago, werldmgn said:

Согласен. Особенно учитывая, что под капотом то по сути нетфильтр, где все это элементарно выполняется. Ну, допустим, есть проблема с интерпретацией команды ip static, слишком она сложная и универсальная, ну так сделали бы две отдельные ip snat и ip dnat.

Надо Feature Request пилить

[SNAT]

16 minutes ago, r13 said:

Возможно поэтому:

 

 

Печально что тема 2017 года, а изменений нет =(

[SNAT]

12 minutes ago, werldmgn said:

Ничего себе какие дела. Очень плохо, что такие замечания к работе не записаны в cli manual'e. Полагаю, в данном конкретном случае, должна сработать как нужно только ip static Wireguard0 PPPoE0 

Оно работает так

Chain _NDM_STATIC_SNAT (1 references)
num   pkts bytes target     prot opt in     out     source               destination
4        0     0 SNAT       all  --  *      ppp0    10.0.10.0/30      0.0.0.0/0            ndmmark match 0x4/0x4 to:x.x.x.x

 

Что верно. Я не помню переделывали ли логику netfilter в кинтетиках, но в стандартом линуксе в этой цепочке нельзя делать match по входному интерфейсу.

Поэтому тут надо явно задавать сети. А вот тот то оно добавляет сети в DNAT - в том и печаль.

 

[SNAT]

Ну да,  как тут правильно отписали ip static <in-iface> <out-iface> еще в source добавляет сеть прибитую к интерфейсу.

Я проблему подпер костылем - делаю NAT по нужным условиям на другом конце туннеля. Там просто линукс.

Использовать руки Opkg тоже невозможно =(

[SNAT]

12 minutes ago, werldmgn said:

Интересно. Видимо сеть 192.168.0.0/16 у вас соответствует public интерфейсу, поэтому роутер и создает правило dnat заодно с snat. Т.к. судя по справочнику "Если interface или network соответствует интерфейсу c уровнем безопасности public, то будет выполняться трансляция адреса назначения (DNAT). Если to-address соответствует интерфейсу c уровнем безопасности public, то будет выполняться трансляция адреса источника (SNAT)."  У вас, видимо,  получается выполняются оба условия вот и создаются сразу два правила. Как выход, что если попробовать интерфейсу, за которым у вас сеть 192.168.0.0/16 (я так понимаю, это впн интерфейс), присвоить security-level private?

Вот это "network соответствует интерфейсу c уровнем безопасности public" крайне расплывчато. Назначена на интерфейсе? Маршрутизируется в интерфейс? Непонятно но что что значит public. Да и потом. О какой сети/интерфейсе идет речь?

 

Для команды ip static 192.168.0.0 255.255.0.0 PPPoE0

Мы говорим про 192.168.0.0 255.255.0.0 или про PPPoE0 ?

[SNAT]

Сеть 192.168.0.0/16 не соответствует никакому интерфейсу. Она маршрутизируется в сторону интерфейса Wireguard0. На нем стыковочный адрес с маской /30. Он private

 

interface Wireguard0
    description VPN
    security-level private
    ip address 10.0.10.2 255.255.255.252
    ip mtu 1400
    ip tcp adjust-mss pmtu
    wireguard listen-port x.x.x.x
    wireguard peer <key>
        endpoint x.x.x.x:yyy
        keepalive-interval 10
        preshared-key <key>
        allow-ips 0.0.0.0 0.0.0.0
    !
    up
!
ip route 192.168.0.0 255.255.0.0 10.0.10.1 Wireguard0

 

[SNAT]

Добрый день!

 

Что то никак не могу решить задачу через web-ui или cli.

Для сети 192.168.0.0/16 (доступной через туннель) при выходе в интернет и только туда, надо делать SNAT в адрес интерфейса.

Для пример - команда CLI

 

ip static 192.168.0.0 255.255.0.0 PPPoE0

прописывает не только SNAT, но и DNAT правило типа такого

 

Chain _NDM_STATIC_DNAT (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        8   512 DNAT       all  --  *      *       0.0.0.0/0            192.168.0.0/16        to:1.9.5.31

 

Что совсем мешает жить и работать

[Автоматический маршрут и ndm]

Есть DUO с 3.5.6

GRE туннель, который потом шифруется IPSec в ручном режиме. Ping-check привязанный к другому адресу туннеля, и маршрут со свойством auto

 

Примерно так

 

ping-check profile ipsec-gre
    host 192.168.10.21
    update-interval 3
    mode icmp
    min-success 3
    max-fails 3
    timeout 3


ip route 192.0.2.0 255.255.255.0 192.168.10.21 Test auto

interface Gre1
    rename Test
    security-level private
    ip address 192.168.10.22 255.255.255.252
    ip mtu 1400
    ip tcp adjust-mss pmtu
    ping-check profile ipsec-gre
    ipsec ignore
    tunnel source PPPoE0
    tunnel destination x.x.x.x
    up

 

Когда туннель в up, все отлично. Если туннель падает, то интерфейс переходит в состояние "connected: no", маршрут из таблицы маршрутизации уходит.

 

Но при этом процесс ndm начинает есть 50% CPU и весле лог забивается записями

C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd025a].
C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd0407].
C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd025a].
C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd0407].
C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd025a].
C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd0407].
C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd025a].
C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd0407].
C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd025a].
C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd0407].
C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd025a].
C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd0407].

 

Есть правда маршруты добавленные через shell

ip route replace blackhole 10.0.0.0/8
ip route replace blackhole 172.16.0.0/12
ip route replace blackhole 192.168.0.0/16

 

Есть маршруты которые добавляет bird

[битая fs]

19 minutes ago, Mamay said:

Носитель меняли?

Хорошая мысль, да. Проклятый Silicon Power. В помойку его.

[битая fs]

Товарищи учёные! У меня в подвале происходит подземный стук...

Keenetic DUO. 3.5.6

Пять раз ставил entware. На разные разделы. Форматировал ext2, ext3, ext4. Линуксом и самим entware. Флешка 8 гиг, раздел создается размером в 1 гиг.

Ставится пачка пакетов. Занято порядка 40 мегабайт.

Все хорошо. пакеты ставятся, все конфигурируется. Команда sync отрабатывает.В логах чисто.

Каждый раз после смены перезагрузки файловая система разлетается на куски. Директория etc читается частично. Внезапно показывает занятого места 300-400 мегабайт

Куча ошибок вида

EXT4-fs error (device sda1): ext4_mb_generate_buddy:756: group 1, block bitmap and bg descriptor inconsistent: 30068 vs 30073 free clusters

EXT4-fs (sda1): initial error at time 1610570814: ext4_lookup:1591: inode 15649
EXT4-fs (sda1): last error at time 1610573351: ext4_mb_generate_buddy:756

EXT4-fs error (device sda2): __ext4_new_inode:864: comm mkdir: reserved inode found cleared - inode=5

EXT4-fs error (device sda1): ext4_mb_generate_buddy:756: group 1, block bitmap and bg descriptor inconsistent: 29955 vs 29978 free clusters
EXT4-fs error (device sda1): ext4_mb_generate_buddy:756: group 2, block bitmap and bg descriptor inconsistent: 32273 vs 32274 free clusters

До ребута все хорошо. Делаешь sync - все хорошо. Перезагрузка и кранты.

[Поддержка IPsec и crypto engine hardware]

On 1/26/2017 at 11:38 AM, Le ecureuil said:

При работе crypto engine EIP93 вы увидете в логе следующие строки:

[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335

 

А скажите пожалуйста. В свежей прошивке 3.5.х этих строк уже нет.

Только

EIP93: AES acceleration registered
EIP93: DES/3DES acceleration registered
EIP93: CryptoAPI started (v 0.11, ring size: 256)

Это нормально?

[3.4.6 - доступ по HTTP]

Ох. Заголовок неверный. Так проблема только с HTTPS.

Просто HTTP, ssh, telnet в тот же самый момент работают юзе проблем.

[Функциональность Keenetic DECT]

Если такие вложенные замены можно делать, то конечно можно ужать. Я просто копипастил из linksys с конвертацией из его формата.

Вопрос решится так же тем что цена трубка + донгл оказалось больше чем новый Panasonic TGP500 (удалось найти).